如何扩展法律依从解决方案

满足政府各种法规政策的需求已经成为每一个IT公司的任务之一，越来越多的法案要求对电子数据进行保存整理。无论大小，只要你的企业属于某个管 制行业，例如医疗健康或金融服务，或是任何公众公司之一，你都需要满足联邦政府和州政府（甚至当地）的要求。而这可能占用你很多的时间和预算 。不仅仅是在美国需要这样，加拿大、欧盟以及其他的国家和组织同样有着保护数据隐私、个人信息和电子文档的法律法规。

虽然，顺应性解决方案的需求都是一样的，但是还要根据具体情况来选择。大型医院和国家银行使用的顺应性解决方案肯定与小的门诊部和5个人的小公 司使用的顺应性解决方案不同，无论是从解决方案的配置上还是从费用上。

如果你只是一家小公司，你一定不想在顺应性解决方案上花费太多的精力。因为有时你并不确定你到底需要做多少，而软件销售商却一直试图让你相信 越多越好。你认识到自己的业务会步步高升（你当然希望），因此你需要的是具备可扩展性的解决方案。

如果你的业务已经很大，那么可扩展性更是一个问题。你需要的解决方案必需有足够多的功能，能处理多种类型的保护数据，还能够在不同的站点收集 存放这些数据，并让它们能够通过复杂的网络进行传输。

目前有成百个顺应性方案顾问和软件商在竞争，你如何去选择一个技能满足现在需要，同时也在以后易于扩展的解决方案呢？

理解法律法规的要求
第一步就是了解针对你所在行业的法律法规要求。现在人们对顺应性问题有很多的恐惧和困惑，公司的高层都担心自己如果不立刻购买昂贵的顺应性解 决方案，自己的公司就有可能被关闭，甚至自己被投入监牢。

的确，顺应性是一个严肃话题，但首先你需要收集信息，了解为了满足法律要求你需要做些什么，而不仅仅是听从方案销售商的危言耸听。

一个问题是，法条在要求你做什么方面已经显得含混不清了。例如，GLB Act的安全维护规则要求金融机构“确定对客户信息所产生的威胁，评估已有的保 护措施，并确保这些措施能够完善任何漏洞，并检测保护措施的有效性。”

如果法条明确指出需要采用何种安全措施（例如，系统中存放的所有能够在网络中传输的信息都必须加密），那么实施起来就会简单得多。然而，你可 以理解为什么这是不可能的：技术发展的脚步太快，新的入侵和攻击的方式层出不穷。即使是要求数据应当被加密的要求也无法保障所采用的加密类型 能不被轻易破解。例如，由于WEP众所周知的安全漏洞，采用WEP加密通过无线网络发送的客户消息仍然有可能泄漏。

一些法条，例如HIPAA，已经太过复杂以至于已经扩展到了一本书那么厚，还有无数证明条款。其他的，诸如Sarbanes-Oxley (SOX) 对小型企业而言则相 对太新，顺应性实施起来极为花钱。

绝大多数情况下，顺应性要求企业指定某人或某团队对顺应性负责。即使没有这样的约束，你也应该如此，确保所选择的对象能得到同相关法规相适当 的培训。

选择解决方案
第一步就是要意识到顺应性包括多种软件条件。顺应性会对你的业务开展方式产生深远的影响。任何的安全计划，无论是否是根据政府要求实施，都需 要政策先行。

其次，你需要评估受到顺应性影响的系统。例如：